Biuletyn dotyczący zabezpieczeń firmy Adobe

Szukaj

Dostępne aktualizacje zabezpieczeń programu Adobe Experience Manager | APSB20-56

ID biuletynu

Data publikacji

Priorytet

APSB20-56 

8 września 2020 

2

Podsumowanie

Firma Adobe opublikowała aktualizacje programu Adobe Experience Manager (AEM) oraz pakietu dodatku AEM Forms. Te aktualizacje usuwają luki w zabezpieczeniach ocenione jako istotnekrytyczne.Wykorzystanie tych luk może spowodować dowolne wykonanie kodu JavaScript w przeglądarce.


Wersje produktu, których dotyczy problem

Produkt Wersja Platforma
Adobe Experience Manager
 6.5.5.0 i starsze wersje 
 Wszystkie
6.4.8.1 i starsze wersje 
 Wszystkie 
6.3.3.8 i starsze wersje 
 Wszystkie 
6.2 SP1-CFP20 i starsze wersje 
 Wszystkie 
Dodatek do AEM Forms
Dodatek Service Pack 5 do AEM Forms i starsze wersje
Wszystkie 

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt

Wersja

Platforma

Priorytet

Dostępność

 

Adobe Experience Manager (AEM) 

6.5.6.0 

Wszystkie

2

 AEM 6.5 Service Pack — informacje o wersji  

6.4.8.2 

Wszystkie

2

AEM 6.4 Cumulative Fix Pack — informacje o wersji  
Dodatek do AEM Forms
 AEM Forms Service Pack 6
 Wszystkie
 2
 Wersje AEM Forms 
Uwaga:

Adobe Experience Manager 6.5.6.0 jest ważną aktualizacją, która obejmuje nowe funkcje, kluczowe korzyści dla klientów, usprawnienia i wydajność, stabilność i ulepszenia zabezpieczeń wydane od czasu powszechnej dostępności wersji 6.5 w kwietniu 2019.Można ją zainstalować jako aktualizację programu Adobe Experience Manager 6.5.

Uwaga:

AEM Cumulative Fix Pack 6.4.8.2 jest ważną aktualizacją obejmującą kilka rozwiązań wewnętrznych i klientów, od czasu powszechnej dostępności dodatku Service Pack 8 AEM 6.4 (6.4.8.0) w marcu 2020. Dodatek AEM Cumulative Fix Pack 6.4.8.2 jest zależny od dodatku AEM 6.4 Service Pack 8. Dlatego też po zainstalowaniu dodatku Service Pack 8 do programu AEM 6.4 należy zainstalować zbiorczy pakiet poprawek AEM Cumulative Fix Pack 6.4.8.2.

Uwaga:

Pomoc dotyczącą wersji 6.3 i 6.2 programu AEM można uzyskać w dziale Obsługi klienta firmy Adobe.

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach

 Wpływ luki w zabezpieczeniach

 Istotność

 Numer CVE 

 Zagrożone wersje
Skrypty międzywitrynowe (zapisane)
 Arbitralne wykonanie JavaScript w przeglądarce
 Krytyczna
 CVE-2020-9732

AEM Forms z SP5 i starszymi wersjami
Wykonywanie przy wykorzystaniu niepotrzebnych uprawnień
 Ujawnienie poufnych informacji Istotna
 CVE-2020-9733

AEM 6.5.5.0 i starsze wersje

AEM 6.4.8.1 i starsze wersje
Skrypty międzywitrynowe (zapisane)
 Arbitralne wykonanie JavaScript w przeglądarce
 Krytyczna
 CVE-2020-9734
 AEM Forms z SP5 i starszymi wersjami
Skrypty międzywitrynowe (zapisane)
 Arbitralne wykonanie JavaScript w przeglądarce
 Istotna
 CVE-2020-9735

AEM 6.5.5.0 i starsze wersje

AEM 6.4.8.1 i starsze wersje

AEM 6.3.3.8 i starsze wersje

AEM 6.2 SP1-CFP20 i starsze wersje
Skrypty międzywitrynowe (zapisane)
 Arbitralne wykonanie JavaScript w przeglądarce
 Istotna
 CVE-2020-9736

AEM 6.5.5.0 i starsze wersje

AEM 6.4.8.1 i starsze wersje

AEM 6.3.3.8 i starsze wersje

AEM 6.2 SP1-CFP20 i starsze wersje
Skrypty międzywitrynowe (zapisane)
 Arbitralne wykonanie JavaScript w przeglądarce
 Istotna
 CVE-2020-9737

AEM 6.5.5.0 i starsze wersje

AEM 6.4.8.1 i starsze wersje

AEM 6.3.3.8 i starsze wersje

AEM 6.2 SP1-CFP20 i starsze wersje
Skrypty międzywitrynowe (zapisane)
 Arbitralne wykonanie JavaScript w przeglądarce
 Istotna

CVE-2020-9738

AEM 6.5.5.0 i starsze wersje

AEM 6.4.8.1 i starsze wersje

AEM 6.3.3.8 i starsze wersje

AEM 6.2 SP1-CFP20 i starsze wersje
Skrypty międzywitrynowe (zapisane)
 Arbitralne wykonanie JavaScript w przeglądarce
 Krytyczna
 CVE-2020-9740

AEM 6.5.5.0 i starsze wersje

AEM 6.4.8.1 i starsze wersje

AEM 6.3.3.8 i starsze wersje

AEM 6.2 SP1-CFP20 i starsze wersje
Skrypty międzywitrynowe (zapisane)
 Arbitralne wykonanie JavaScript w przeglądarce
 Krytyczna
 CVE-2020-9741
 AEM Forms z SP5 i starszymi wersjami
Skrypty międzywitrynowe (odzwierciedlone)
 Arbitralne wykonanie JavaScript w przeglądarce
 Krytyczna
 CVE-2020-9742

AEM 6.5.5.0 i starsze wersje

AEM 6.4.8.1 i starsze wersje

AEM 6.3.3.8 i starsze wersje
Iniekcja kodu HTML
 Dowolna iniekcja kodu HTML w przeglądarce
 Istotna
 CVE-2020-9743

AEM 6.5.5.0 i starsze wersje

AEM 6.4.8.1 i starsze wersje

AEM 6.3.3.8 i starsze wersje

AEM 6.2 SP1-CFP20 i starsze wersje

Aktualizacje zależności

Zależność

Wpływ luki w zabezpieczeniach

Zagrożone wersje

Handlebars.js

Dowolne wykonanie kodu JavaScript w przeglądarce

AEM 6.5.5.0 i starsze wersje

AEM 6.4.8.1 i starsze wersje

AEM 6.3.3.8 i starsze wersje

AEM 6.2 SP1-CFP20 i starsze wersje

Lodash.js (usunięto z AEM)

Zanieczyszczanie prototypów

AEM 6.5.5.0 i starsze wersje

AEM 6.4.8.1 i starsze wersje

AEM 6.3.3.8 i starsze wersje

AEM 6.2 SP1-CFP20 i starsze wersje

Log4j

Deserializacja niezaufanych danych

AEM 6.5.5.0 i starsze wersje

AEM 6.4.8.1 i starsze wersje

AEM 6.3.3.8 i starsze wersje

AEM 6.2 SP1-CFP20 i starsze wersje

Dom4j

Iniekcja XXE (Xml eXternal Entity)

AEM 6.5.5.0 i starsze wersje

AEM 6.4.8.1 i starsze wersje

AEM 6.3.3.8 i starsze wersje

AEM 6.2 SP1-CFP20 i starsze wersje

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?

Podręczne łącza

Wyświetl swoje plany Zarządzaj planami
Wyświetl podręczne łącza
Ukryj podręczne łącza